Témoignage Client - Hôpital de Versailles : Comment éviter la propagation du malware grâce à la solution Malware Cleaner d’Orange Cyberdefense

Le 3 décembre 2022, Le Centre hospitalier de Versailles a subi une cyberattaque qui a gravement affecté son activité pendant plusieurs semaines. Pour éviter la propagation du rançongiciel, la direction de l’hôpital a coupé l’intégralité du réseau et a activé d’urgence une cellule de crise en lien avec l’Agence régionale de santé (ARS) d’Ile-de-France.

Les équipes de l'ANSSI et les experts du CERT d'Orange Cyberdefense ont également été sollicités pour aider le RSSI du GHT Yvelines Sud, Antoine Toutain, à résoudre la crise.

Dans une interview, Antoine Toutain a partagé son retour d’expérience sur les coulisses de la gestion de crise et l’activation de la solution de protection malware proposée par Orange Cyberdefense.

Le 3 décembre 2022 en plein week-end, vers 21 heures, les premiers messages de demande de rançon apparaissent sur les postes de travail.

Les équipes d’astreinte ont rapidement compris qu’une cyberattaque avait lieu sur le réseau informatique de l’établissement.

Une cellule de crise a été mise en place et l'équipe IT a été rappelée en urgence pour réduire la portée de la menace sur le système d'information (SI).   

« Nous avons pris la décision radicale d’arrêter le réseau et les serveurs et de confiner les 3000 postes de travail, pour arrêter la propagation de l’attaque. Une analyse fine a ensuite été menée pour remonter à l’origine de l’attaque et identifier les indices de compromission » explique Antoine Toutain.

« Pour effectuer ces démarches nous avons fait appel aux équipes de l’ANSSI et à des acteurs de la Cyber Sécurité dont de CSIRT d’Orange Cyberdefense. Ces derniers nous ont accompagnés sur la partie reconstruction du réseau et dans la coordination des différents chantiers techniques, notamment dans la mise en conformité et l’adaptation des règles de l’Active Directory après leur durcissement conseillé par l’ANSSI», poursuit Antoine Toutain.   

Lors de la découverte de l’attaque, l’une des premières décisions prises a été de confiner les postes de travail immédiatement et de déconnecter le réseau. Toutefois, le risque était que les utilisateurs rallument leur poste local et utilisent une clé USB pour récupérer leurs données, pouvant ainsi réinfecter d'autres machines quelques mois plus tard.  Pour éviter cela, les équipes d'Orange Cyberdefense ont envoyé en urgence une borne Malware Cleaner.

« Etant dans l’incapacité d’empêcher ce type de comportements, nous devions trouver une solution pour nous assurer que les clés USB utilisées par le personnel étaient bien saines.

Tous les antivirus inclus dans la borne ne permettaient pas de détecter cette toute nouvelle charge malveillante. Mais nous avons rapidement pu intégrer dans la solution les  indices de compromission, découverts par les équipes investigation, pour avoir la garantie que ce nouveau malware soit détecté et avoir ainsi toute confiance dans les résultats des analyses.

Tout au long de la phase de reconstruction, une personne de l’équipe IT était chargée d’effectuer l’analyse de toutes les clés USB utilisées par les agents via cette solution. Les clés infectées étaient gardées par l’équipe de sécurité, les autres étaient remises au personnel.

Nous avons réalisé plus de 900 analyses depuis le début de l’incident. La borne Malware Cleaner a donc été très utile pour à la fois rassurer le personnel mais également effectuer des levées de doutes et éviter ainsi toute propagation de l’attaque. », explique Antoine Toutain.

Simple d’utilisation, efficace et pratique, la solution Malware Cleaner a joué un rôle important dans notre phase de reconstruction. Même si la menace n’est pas arrivée par une clé USB, elle pourrait se redéployer par ce biais, la clé USB étant un réel vecteur d’attaque ».

Malware Cleaner a été développée par les experts du CERT Orange Cyberdefense pour offrir une protection complète contre les menaces potentielles, avec huit antivirus complémentaires ainsi qu'une protection des postes de travail via l'agent Malware Cleaner.

En outre, la solution est hautement paramétrable et peut être configurée selon les politiques de sécurité des entreprises, ce qui la rend parfaitement adaptable aux besoins et aux enjeux métiers de l'entreprise. Les options de mise à jour, en ligne ou hors ligne, permettent une mise à jour flexible et pratique de la solution, et les entreprises et les institutions publiques peuvent être assurées que Malware Cleaner les aidera à rester en conformité avec les réglementations en vigueur.

Malware Cleaner offre également des fonctionnalités avancées telles que la détection des BAD USB et l'analyse à distance des fichiers suspects, offrant ainsi un avantage supplémentaire pour détecter et prévenir les menaces potentielles. Grâce à cette solution, les doutes sur les postes de travail peuvent être levés en toute sécurité, aidant à protéger les systèmes d'information contre les malwares et autres menaces potentielles.  

Les hôpitaux représentent des cibles de choix pour les cyberattaquants, en particulier depuis l’avènement de la pandémie de Covid qui a entraîné une multiplication des attaques. En effet, selon les dernières données de l’ANSSI, les établissements publics de santé ont représenté près de 10% des victimes de compromissions par rançongiciel en 2022, ce qui représente une hausse par rapport à l’an dernier.  Afin de se protéger contre ces menaces grandissantes, il est crucial pour les entreprises et les établissements publics de disposer d’une solution complète de protection anti-malware telle que Malware Cleaner, développée par les équipes CERT d’Orange Cyberdefense. En optant pour une telle solution, ces organisations peuvent non seulement protéger leur activité, mais également se conformer aux normes légales en vigueur en France et en Europe, tout en sensibilisant leurs collaborateurs aux risques liés aux menaces informatiques.